卡巴斯基网络安全研究人员近日发现名为SparkKitty的新型间谍软件活动,该恶意程序已感染苹果App Store和谷歌Play官方商店的多个应用。这款间谍软件旨在窃取用户移动设备中的所有图片,疑似专门搜寻加密货币相关信息。该攻击活动自2024年初开始活跃,主要针对东南亚和中国用户。
SparkKitty间谍软件通过看似无害的应用程序渗透设备,通常伪装成TikTok等流行应用的修改版本。在恶意的TikTok变种案例中,应用内甚至包含一个虚假的TikToki Mall在线商店,该商店接受加密货币购买消费品,且往往需要邀请码才能访问。
iPhone上的安装过程显示恶意TikTok应用如何使用配置描述文件(来源:卡巴斯基)
根据卡巴斯基报告,针对iOS设备,攻击者利用苹果开发者计划中的企业级配置描述文件。这使得他们能在iPhone上安装证书,让恶意应用显得可信,从而绕过常规的App Store审核流程实现直接分发。
此外,威胁分子通过修改AFNetworking.framework和Alamofire.framework等开源网络库嵌入恶意代码,并将其伪装成libswiftDarwin.dylib。
在Android平台,卡巴斯基发现SparkKitty间谍软件隐藏在各类加密货币和赌博应用中。其中一款具有加密货币功能的通讯工具应用在被下架前,已从Google Play下载超过10,000次。另一个通过非官方商店传播的受感染Android应用,其类似版本也潜入了App Store。这两个版本都直接在应用内部包含恶意代码,而非作为独立组件。
安装后,SparkKitty间谍软件的主要目标是访问并窃取设备相册中的所有照片。虽然它会广泛收集图像,但似乎与名为SparkCat的旧版间谍软件有关联——后者使用光学字符识别(OCR)技术(即从图像中_读取_文本),专门查找并窃取屏幕截图中的加密货币钱包恢复短语等敏感信息。
部分SparkKitty变种也利用OCR实现相同目的,通过GoogleML Kit库执行该功能,尤其出现在通过仿冒诈骗和庞氏骗局的 shady 网页分发的应用中。
Google Play(左)和App Store(右)上的SparkKitty间谍软件应用
卡巴斯基认为SparkKitty间谍软件与2025年1月发现的SparkCat攻击活动直接相关,两者通过官方和非官方应用市场共享相似的传播方式,且都专注于加密货币盗窃。SparkKitty背后的攻击者特别针对东南亚和中国用户,常通过虚假TikTok应用实施攻击。
虽然从第三方商店下载应用始终存在风险,但此次发现表明,即使是官方应用商店等可信来源也不再能被视为完全可靠。受影响地区乃至全球用户都应对应用权限保持警惕,并审慎评估任何请求非常规访问(尤其是相册权限)的应用的合法性。
